Microsoft ประกาศยุติการใช้งานฟีเจอร์แจ้งเตือนข้อมูลสำคัญบนอุปกรณ์ปลายทาง (Endpoint Sensitive Data Alerting) ในพอร์ทัล Microsoft Defender อย่างเป็นทางการ ตั้งแต่วันที่ 23 มีนาคม 2026 เป็นต้นไป โดยองค์กรที่มีการใช้งานฟีเจอร์ดังกล่าวจำเป็นต้องย้ายไปใช้ Microsoft Purview DLP เพื่อรองรับการแจ้งเตือน การบังคับใช้นโยบาย และการตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลสำคัญบน Endpoint แทน
การเปลี่ยนแปลงครั้งนี้เป็นส่วนหนึ่งของแนวทางในการรวมศูนย์ระบบ Data Loss Prevention (DLP) ของ Microsoft ให้ทำงานอยู่บนแพลตฟอร์มเดียว โดย Microsoft ระบุว่าการย้ายไปยัง Microsoft Purview DLP จะช่วยให้องค์กรได้รับประสบการณ์การใช้งานที่สอดคล้องกันมากขึ้น พร้อมทั้งเข้าถึงความสามารถด้านการบังคับใช้นโยบายและการตรวจสอบเชิงลึกผ่าน Microsoft Defender XDR ได้อย่างมีประสิทธิภาพ
ไทม์ไลน์ที่ต้องรู้
การยุติการใช้งานครั้งนี้ไม่ได้เกิดขึ้นกะทันหัน แต่ทยอยดำเนินมาเป็นระยะ ดังนี้
-
16 กุมภาพันธ์ 2026: Microsoft ยกเลิกตัวเลือกกิจกรรมข้อมูลสำคัญในการสร้างนโยบายใหม่ใน Microsoft Defender Portal ส่งผลให้ผู้ดูแลระบบไม่สามารถสร้าง Alert Policies ประเภทนี้เพิ่มเติมได้
-
23 มีนาคม 2026: นโยบายที่มีอยู่เดิมทั้งหมดจะหยุดสร้างการแจ้งเตือน และฟีเจอร์ดังกล่าวจะไม่ถูกใช้งานใน Defender อีกต่อไป
ใครได้รับผลกระทบบ้าง?
การเปลี่ยนแปลงนี้ส่งผลต่อ 2 กลุ่มหลัก ได้แก่
-
องค์กรที่ใช้ Alert Policies ใน Microsoft Defender XDR เพื่อตรวจสอบกิจกรรมข้อมูลสำคัญบน Endpoint
-
ผู้ดูแลระบบ (Admin) ที่สร้างหรือจัดการนโยบายการแจ้งเตือนในพอร์ทัล Microsoft Defender
หากองค์กรของคุณไม่ได้ใช้ Alert Policies ใน Defender สำหรับข้อมูลสำคัญบน Endpoint อยู่แล้ว ไม่จำเป็นต้องดำเนินการใด ๆ
ต้องทำอะไรบ้างเพื่อแก้ไขสถานการณ์?
Microsoft แนะนำขั้นตอนดังนี้:
-
ตรวจสอบนโยบายการแจ้งเตือนที่มีอยู่ใน Microsoft Defender เพื่อระบุว่านโยบายใดใช้กิจกรรมที่กำลังถูกยุติ
-
จากนั้นสร้างการแจ้งเตือนที่จำเป็นขึ้นใหม่ผ่าน Microsoft Purview DLP
-
แจ้งทีม SecOps และทีม Helpdesk เกี่ยวกับการเปลี่ยนแปลง
-
อัปเดตเอกสารภายในองค์กรที่อ้างอิงถึงนโยบายการแจ้งเตือนของ Defender เหล่านี้
ข้อดีที่ควรรู้
ทีม SecOps ยังทำงานใน Defender ได้ตามปกติ การเปลี่ยนแปลงนี้ไม่ได้บังคับให้ทีม SecOps ต้องย้ายออกจาก Microsoft Defender portal แต่อย่างใด โดยการแจ้งเตือนจาก Microsoft Purview DLP สำหรับกิจกรรมบน Endpoint ยังคงถูกแสดงผลใน Microsoft Defender XDR ได้ตามปกติ
อย่างไรก็ตาม องค์กรจำเป็นต้องสร้างและจัดการนโยบาย DLP ผ่าน Microsoft Purview แทน
ในด้านการใช้งาน:
-
Microsoft Defender XDR เหมาะสำหรับการตรวจสอบ (Monitor) และวิเคราะห์ (Investigate) การแจ้งเตือน
-
Microsoft Purview เหมาะสำหรับการสร้าง แก้ไข และบริหารจัดการนโยบาย DLP
สรุป
การรวมระบบครั้งนี้สะท้อนทิศทางของ Microsoft ที่ต้องการให้ Purview เป็นศูนย์กลางด้านการปกป้องข้อมูลอย่างครบวงจร แม้จะสร้างความยุ่งยากในการโยกย้ายระบบในระยะสั้น แต่ระยะยาวองค์กรจะได้รับการจัดการ DLP ที่เป็นระเบียบและมีประสิทธิภาพมากขึ้นในแพลตฟอร์มเดียว
ผู้ดูแลระบบสามารถศึกษารายละเอียดเพิ่มเติมได้ผ่าน Microsoft 365 Admin Center ภายใต้รหัสข้อความ MC1217649 และควรเร่งดำเนินการ เนื่องจากการเปลี่ยนแปลงมีผลบังคับใช้แล้วในปัจจุบัน
